О безопасности платформы М2

• В М2 обеспечивается третий уровень защищённости персональных данных.
• Компания внесена в реестр операторов персональных данных в 2019 году под номером 77-19-016518.
• Назначен ответственный за обработку персональных данных.
• Установлен порядок доступа к данным и перечень лиц, которые имеют такой доступ.
• Разработаны политика и другие документы в области обработки персональных данных.
• Разработана модель угроз и модель защиты персональных данных.
• Все данные хранятся в центрах обработки данных на территории РФ и регионально распределены.
• Загруженные на платформу файлы надёжно защищены.

• Физическая защита инфраструктуры организована ООО «Яндекс.Облако», информация о безопасности ООО «Яндекс.Облако» представлена по адресу — https://yandex.cloud/ru/security.
• Доступ к внутренней сети происходит через защищённое соединение, которое обеспечивает конфиденциальность и целостность передаваемых данных.
• Передача данных осуществляется по защищённому каналу с шифрованием TLS v1.2.

• Основные средства и технологии для защиты информации:

  • SOC (Security Operations Center),
  • антивирусная защита ПО Kaspersky,
  • средства предотвращения утечек информации,
  • система управления событиями безопасности,
  • мониторинг процессов и сетевых подключений.

• На серверах компании ежедневно обновляются резервные копии критических данных, они хранятся на отдельном физическом сервере.

• Работает система логирования действий пользователей, информация о которых хранится на протяжении всего срока сотрудничества.
• Регистрируются события безопасности — на уровне ОС, СУБД и ППО серверов компании. Фиксируются операции по входу и выходу пользователей, а также по изменению данных: удалению, обновлению и добавлению данных в базу.

• Реализована ролевая модель доступа — свой набор прав для каждой роли пользователей:

  • физических лиц,
  • самозанятых и частных агентов,
  • партнёров — ИП и юрлиц: агентств недвижимости, застройщиков и банков.

• Для партнёров создана гибкая настройка политик безопасности — индивидуальный подход к защите данных и управлению доступом:

  • количество активных сессий,
  • время сессии пользователей компании,
  • настройки двухфакторной аутентификации,
  • перечень IP-подсетей для получения сотрудниками доступа к личному кабинету.

• Каждая категория персональных данных хранится в отдельной базе.

• Не реже 1 раза в год проводится внешний пентестинг для выявления уязвимостей приложения.

• М2 успешно проходит аудит безопасности в компании, имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации — документ аттестата.

Все внутренние процессы М2, связанные с безопасностью и обработкой данных, строго регламентированы.

• Для разных категорий субъектов персональных данных разработаны документы по обработке данных. Ознакомиться с ними можно по ссылке — https://m2.ru/doc/clients/.
• Проводится обучение сотрудников для повышения уровня осведомлённости о правилах и нормах обработки персональных данных, а также об информационной безопасности.
• Сотрудники подписывают соглашение о неразглашении персональных данных.
• С третьими лицами подписываются документы при поручении обработки персональных данных или их передаче, а также соглашения о конфиденциальности.
• Ежегодно проводится внутренний аудит принимаемых мер обеспечения безопасности.
• Разработаны сценарии устранения инцидентов.

Мы внимательно отслеживаем изменения и актуальные тенденции в сфере информационной безопасности, проводим регулярные аудиты и внедряем улучшения в систему безопасности М2.